Показано с 1 по 1 из 1.

Антивирусная защита UNIX-узлов в гетерогенной среде

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162

    Антивирусная защита UNIX-узлов в гетерогенной среде

    Введение

    Проблема обеспечения антивирусной безопасности гетерогенной ИТ-инфраструктуры стоит сегодня перед многими компаниями. ИТ-профессионалам необходимо понимать специфику защиты узлов корпоративной сети, работающих под управлением операционных систем семейства UNIX, а также ориентироваться в технических решениях, доступных для этой платформы.

    Предлагаемая ниже дискуссия должна пролить свет на эти и многие другие вопросы. В ней приняли участие Костин Раю, глава отдела исследований и разработки румынского подразделения "Лаборатории Касперского", Дэвид Эмм, старший технологический консультант британского подразделения компании, и Константин Сапронов, вирусный аналитик "Лаборатории".
    Интервью Алексей Доля.
    Константин Сапронов, вирусный аналитик "Лаборатории Касперского"
    Костин Раю, глава отдела исследований и разработки румынского
    подразделения "Лаборатории Касперского"
    Дэвид Эмм, старший технологический консультант британского подразделения "Лаборатории Касперского"
    Алексей Доля: Каждый из вас является признанным антивирусным экспертом. Как ваша деятельность связана с платформой UNIX?

    Костин Раю: В составе румынского подразделения "Лаборатории Касперского" есть очень сильный UNIX-отдел, доставшийся нам в наследство от компании GeCAD (которую купила Microsoft, а ей, естественно, UNIX-специалисты ни к чему). Так как я руковожу исследованиями и разработками во всем подразделении, мне часто приходится сталкиваться с технологиями, специфическими для платформ UNIX.

    Дэвид Эмм: Будучи старшим технологическим консультантом, я постоянно поддерживаю связь с нынешними и потенциальными клиентами, которые иногда испытывают трудности с антивирусной защитой именно UNIX-узлов в рамках гетерогенной среды. Я рад, что пресса обратила внимание на эту проблему, так как теперь мы можем расставить все точки над "i".

    Константин Сапронов: В задачу вирусного аналитика, которым я являюсь, входит ежедневная работа с вредоносными кодами. Я же специализируюсь на "паразитах" именно для UNIX-систем. Таким образом, я изо дня в день исследую вирусы, черви, троянцы и другие виды компьютерной фауны, использующие ресурсы UNIX в своей деятельности.


    Алексей Доля: Раз уж Дэвид начал с того, что заказчики сами заинтересованы в этой проблеме, неплохо было бы выяснить вообще, как часто при построении ИТ-инфраструктуры применяются гетерогенные технологии?

    Костин Раю: Думаю, что гетерогенные сети сегодня являются стандартом де-факто. Клиенты часто используют парк рабочих станций под управлением Microsoft Windows для своих служащих и серверы под управлением UNIX для доступа в Интернет или к ресурсам электронной почты. Это вполне естественный подход, так как система Windows известна своей дружелюбностью, а решения на базе UNIX - низкой стоимостью.

    Дэвид Эмм: Я бы добавил, что гетерогенность корпоративных систем сильно возросла в течение последних нескольких лет. Совершенно определенно это можно сказать об использовании не только Windows, но и Linux в качестве файлового сервера для хранения Windows-приложений.

    Константин Сапронов: Я полностью согласен с коллегами; гетерогенные сети являются обычным явлением в наше время. Самой популярной платформой сегодня является Intel как для серверов, так и для рабочих станций. Что касается программного обеспечения, то Windows имеет ощутимый перевес только в качестве клиентской операционной системы. На серверах, где запущены сетевые службы (Web, POP, SMTP, шлюз, firewall), очень популярны представители семейства UNIX, в основном Linux и FreeBSD. Несколько отличаются серверы баз данных: для управления ими часто используется система Solaris на архитектуре SPARC.


    Алексей Доля: Какие особенности развертывания антивирусного решения в гетерогенной инфраструктуре вы бы выделили?

    Костин Раю: Прежде всего, необходимо обращать внимание на такой параметр решения, как доступность. Поддерживает ли ваш антивирус все операционные системы, используемые в вашей компании? Как насчет поддержки различных приложений, почтовых серверов и программных решений для автоматизации коллективной работы? Следующим, но также очень важным параметром является наличие централизованных обновлений. Не дай вам Бог попасть в ситуацию, когда в разгар рабочего дня каждый узел вашей сети начнет скачивать из Интернет одно и то же обновление. Если у вас слабый канал связи, то ИТ-инфраструктура может "лечь", причем надолго. Последним в списке, но отнюдь не по значению, должно быть хорошее решение для управления антивирусным продуктом. Это упростит работу системного администратора, которому будет все равно, сколько машин администрировать: 10, 100 или даже 1000.

    Дэвид Эмм: Костин, в принципе, уже все сказал. Можно добавить только об одной неочевидной угрозе - нельзя позволить UNIX-системе превратиться в хранилище Windows-вирусов. Между тем, это довольно актуальная проблема, так как подавляющее большинство современных вредоносных кодов направлено все-таки на Microsoft Windows, а файловые серверы под управлением UNIX часто используются для хранения Windows-приложений. Хотя такие паразиты не могут причинить вреда серверу, на котором находятся, рано или поздно они могут попасть на рабочие станции и нанести серьезный ущерб.

    Константин Сапронов: Продуктовая линейка в любом случае должна предоставлять комплексное решение для защиты всех входящих в гетерогенную систему составляющих. Ни один узел не должен остаться беззащитным. На мой взгляд, стоит немного сместить акцент в сторону интегрированной системы управления всеми компонентами антивирусного решения. Такая система значительно упрощает поддержку и администрирование ИТ-безопасности, а также снижает риски возникновения инцидентов, вызванных человеческим фактором.


    Алексей Доля: Вы упомянули, что подавляющее большинство вредоносных кодов сегодня нацелено на Microsoft Windows. Что можно сказать о тех "паразитах", которые направлены именно на системы UNIX?

    Костин Раю: Что ж, такие вредоносные коды не просто существуют, но еще и распространяются сейчас в "диком виде". Не нужно даже напрягать память, чтобы вспомнить, как всего пару недель назад мы обнаружили нового червя для системы Solaris. Более того, это паразит успел причинить массу головной боли администраторам нескольких реально работающих корпоративных сетей. Можно вспомнить также червей Scalper и Slapper, которые успешно атаковали системы FreeBSD и Linux в 2002 году, или червя Sadmind, натворившего немало бед в 2001 году.

    Дэвид Эмм: На мой взгляд, наибольшей опасности подвергается Linux. Кстати, первый червь для этой системы, Bliss, появился в 1997 году. Уже тогда стало ясно - Linux так же уязвима для вирусов, как и любая другая операционная система. Думаю, вредоносных кодов для Linux было бы намного больше, если бы не подавляющее господство Microsoft Windows в сегменте рабочих станций. А так далеко не каждый вирусописатель решается создать вирус специально для Linux или для UNIX в общем случае. Однако с 1997 года популярность Linux значительно возросла, по-видимому, благодаря дистрибутивам Red Hat и SuSE (теперь Novell SuSE). Сегодня число паразитов для Linux постепенно растет вместе с ростом числа пользователей этой системы. Это закономерно для любой операционной системы: "плохие парни" всегда ориентируются на платформу, распространенную наиболее широко. Многие вирусы и черви для Linux могут заражать файлы в формате ELF (Executable and Linkable Format). Это наиболее распространенный формат файлов в Linux. Чтобы их заразить, используются стандартные подходы: добавляется вредоносный код, меняются точки входа в файл, модифицируется сам код файла-жертвы. Некоторые паразиты используют скрипты оболочки UNIX, которые поддерживаются большинством дистрибутивов Linux. Такие скрипты легко написать, однако, от этого они не менее опасны. Хотя продвинутые пользователи могут заметить наличие скриптов в системе, многие начинающие пользователи не обратят на них должного внимания. Бывают более сложные экземпляры. Например, червь Ramen использовал известную уязвимость в системе, чтобы получить права администратора на сервере Linux, а после этого запускал бинарные ELF-файлы и скрипты оболочки, чтобы отыскать другие серверы-жертвы в сети Интернет. Число вредителей для Linux растет довольно медленно, но обращает на себя внимание другая тенденция: вирусописатели, специализирующиеся на Linux, становятся все более и более изощренными. Можно вспомнить Etapux (май 2002 года) - очень сложный полиморфный вирус, скрывавший точку доступа (что серьезно осложняло его детектирование) и способный заражать как Linux-файлы в формате ELF, так и Win32-файлы в формате PE (Portable Executable).
    Что касается червя Slapper, о котором упомянул Костин, то для того чтобы заразить веб-сервер Apache, этот представитель компьютерной фауны использовал опубликованную уязвимость в библиотеке Open SSL. Вообще, техника использования уязвимостей очень популярна: червь Adore сканировал случайные порты, чтобы отыскать системы, в которых можно получить права администратора, воспользовавшись уязвимостью в службе BIND.DNS на серверах Linux. Следует также отметить, что модель безопасности UNIX ставит также ряд препятствий перед вирусописателями. Например, чтобы модифицировать бинарные файлы в формате ELF, требуются права администратора. Также вредоносный код может зависеть от конкретной ветки дистрибутива или версии ядра. Однако очевидно, что все эти препятствия можно преодолеть. Например, использование скриптов делает вирус или червя менее зависимым от особенностей конкретного дистрибутива. Возвращаясь к пресловутому червю Slapper, замечу, что он загружал себя в систему в виде исходного файла в кодировке UNIX-to-UNIX, потом декодировал себя и компилировал исходный текст в бинарный ELF-файл, используя локальную копию компилятора с языка С.

    Константин Сапронов: Подведу некоторые итоги. Особенностью UNIX (по сравнению с Windows) является другой формат исполняемых файлов - ELF. Однако базовые технологии, столь популярные на Windows-платформах, находят свое применение и в UNIX-среде. Это, прежде всего, использование различных уязвимостей в программном обеспечении (которое часто работает все-таки не на всем многообразии систем UNIX). Самыми популярными среди вирусописателей являются системы Linux, Solaris и FreeBSD.


    Алексей Доля: Что вы можете сказать об открытых антивирусных продуктах, которые иногда поставляются вместе с дистрибутивами Linux? Некоторые из них свободно доступны в Интернет и являются бесплатными.

    Костин Раю: Все решения в сфере ИТ-безопасности, а особенно антивирусы (так как они нуждаются в хорошей настройке), требуют работы целой команды профессионалов и исследователей, которые будут обновлять продукт и следить за его эффективностью. Хотя некоторые бесплатные решения, например, ClamAV, в состоянии защитить машину от большинства червей, распространяющихся по электронной почте, всё-таки я не уверен, что их эффективность достаточно высока для применения в корпоративной среде, где всего один пропущенный вирус может вызвать хаос. Думаю, что деньги, которые надо платить за коммерческое решение, окупятся в долгосрочной перспективе.

    Константин Сапронов: Я работаю в основном с вредоносными кодами, поэтому мало что могу сказать об антивирусах с открытым исходным кодом. Некоторые из них имеют лучшее, по сравнению с коммерческими аналогами, время реакции на появление новых вредителей и качество детектирования. Но с известными и хорошо себя зарекомендовавшими закрытыми решениями бесплатные продукты вряд ли могут сравниться.

    Дэвид Эмм: Я согласен с Костином и Константином, пока что открытые и бесплатные решения совсем не готовы для использования в корпоративной среде.


    Алексей Доля: Насколько важно, по вашему мнению, защищать файловые серверы UNIX, прямой доступ пользователей к которым запрещен?

    Костин Раю: Это очень актуальный вопрос. Думаю, что такие серверы защищать так же важно, как и любые файловые серверы под управлением Windows. Следует учитывать, что, например, Samba-серверы на UNIX-платформах обладают отличной совместимостью и высокой производительностью. Компания обязательно должна защищать их, если не хочет иметь "дыру" в своей системе ИТ-безопасности.

    Константин Сапронов: Не стоит забывать, что если UNIX и используется в качестве файл-сервера, то всё равно основными его клиентами являются рабочие станции под управлением Windows. Поэтому, как правильно сказал Костин, в данном случае антивирусная защита важна так же, как и для Windows-сервера.


    Алексей Доля: Можно ли сегодня говорить об антивирусных решениях для защиты рабочих станций под управлением UNIX? Это актуальная проблема?

    Костин Раю: Все-таки подавляющее большинство паразитов создается для системы Windows, так что об антивирусной защите рабочих станций на основе UNIX, думаю, пока можно не беспокоиться. Тем не менее, когда речь идет о комплексном корпоративном антивирусном решении, которое по определению должно покрывать абсолютно все уязвимые узлы вычислительной сети, наличие модуля для защиты настольных компьютеров под управлением UNIX является просто обязательным. Что бы мы ни говорили об общих тенденциях, нельзя оставлять корпоративный компьютер без защиты антивируса - вне зависимости от того, какая система им управляет.

    Константин Сапронов: В настоящий момент в качестве настольной системы UNIX используется не очень широко, поэтому проблема нехватки антивирусов c графическим интерфейсом пользователя под UNIX не так актуальна. В принципе, уже имеющиеся решения можно использовать как на серверах, так и на рабочих станциях, естественно учитывая специфику их применения. Если посмотреть на текущий поток вредоносного кода, то видно, что основная его часть направлена на Win32-пользователей, но с ростом популярности UNIX ситуация может измениться, и мы должны быть готовы к этому.

    Дэвид Эмм: Некоторые наши клиенты используют действительно экзотические системы. Например, рабочие станции HP под управлением Ultrix. Я убежден, что далеко не все из них могут быть защищены антивирусным решением. Поэтому я не вижу никаких причин, чтобы не защитить стандартный настольный компьютер на основе Linux. Конечно, если для него существует антивирус.


    Алексей Доля: Большое спасибо за участие в нашей дискуссии. Не каждый день удается собрать в одном месте столько экспертов. Удачи вам и всего доброго!

    http://www.fcenter.ru/forprint.shtml...nterview/13249

  2. Реклама
     

Похожие темы

  1. Ответов: 31
    Последнее сообщение: 01.02.2010, 19:41
  2. Антивирусная защита: нужен второй эшелон
    От SDA в разделе Антивирусы
    Ответов: 0
    Последнее сообщение: 02.09.2009, 09:33
  3. Помогите. Не работает антивирусная защита
    От Alex Dmitriev в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 27.04.2009, 18:15
  4. Ответов: 22
    Последнее сообщение: 01.08.2008, 11:09
  5. Антивирусная защита по Фэн-Шуй
    От ВодкуГлыть в разделе Юмор
    Ответов: 4
    Последнее сообщение: 12.02.2008, 09:55

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01311 seconds with 18 queries